这就是我的难题。
我在现场有大约 500 台不在域内的 PC(是的,我知道。我没有设置网络),我正尝试通过 InTune 管理它们。这些计算机都过时得可怕(旧的 SA 关闭了 Windows 更新并安装了 Deep Freeze),因此这些计算机在感染病毒/恶意软件方面“在某种程度上”是安全的。(其实并非如此,但为了加快速度并直奔主题...)
今后,我想删除 Deep Freeze,并依靠更强大的更新系统、主动病毒/恶意软件清除和补丁。话虽如此,我对如何做到这一点有点困惑。
这些计算机上的帐户被设置为本地管理员,其安装/卸载权限不受任何限制。我正在将 intune 部署到每台计算机上。
我的问题:什么是“最佳”的(参见:最有效的方法)来禁用最终用户安装,同时仍然能够通过 InTune 分发软件/更新。
任何帮助都将不胜感激。
答案1
“我的问题是:禁用最终用户安装的‘最佳’方法(参见:最有效的方法)是什么,同时仍然能够通过 InTune 分发软件/更新?”
降级所有用户帐户,使他们不再是本地管理员。
只要用户是机器的本地管理员,他们就可以对该机器进行任何操作,并且您无法阻止他们。